Uma variante do botnet Mirai foi descoberta explorando uma vulnerabilidade recentemente divulgada nos roteadores industriais da Four-Faith desde o início de novembro de 2024. O objetivo da campanha é realizar ataques de negação de serviço distribuído (DDoS). A botnet mantém cerca de 15.000 endereços IP ativos diariamente, com infecções concentradas principalmente em países como China, Irã, Rússia, Turquia e Estados Unidos.

Operando desde fevereiro de 2024, o malware utiliza mais de 20 vulnerabilidades conhecidas e credenciais Telnet fracas para obter acesso inicial. Essa variante foi apelidada de “gayfemboy”, um termo ofensivo encontrado no código-fonte.

Segundo os pesquisadores, a botnet explorou uma vulnerabilidade zero day nos roteadores industriais da Four-Faith para disseminar seus artefatos a partir de 9 de novembro de 2024. A falha, identificada como CVE-2024-12856, possui uma pontuação CVSS de 7.2 e refere-se a um bug de injeção de comandos no sistema operacional dos modelos de roteadores F3x24 e F3x36. O ataque tira proveito de credenciais padrão que não foram alteradas pelos usuários.

Uma vez instalado, o malware oculta processos maliciosos e usa um formato de comando baseado no Mirai para escanear dispositivos vulneráveis, atualizar-se e realizar ataques DDoS contra alvos de interesse. Esses ataques têm como alvo centenas de entidades diariamente, com a atividade atingindo um pico entre outubro e novembro de 2024. Apesar da curta duração, variando entre 10 e 30 segundos, os ataques geram tráfego de aproximadamente 100 Gbps.